我正在使用Windows事件跟踪(ETW)在Windows Server 2008 R2中对系统调用进行内核跟踪。
我正在跑步:
logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets
在生成的内核跟踪中,我正在查看SysCallAddress属性,我看到了很多我期望的内容:例如0xFFFFF80001999EE0,它是nt!NtWriteFile。
问题是我在0xFFFFF960范围内看到很多地址,例如0xFFFFF9600004421C,我不知道这些地址是什么。内核调试器中的ln命令不返回任何这些地址的信息。有没有人知道内核跟踪器视为系统调用的这些地址是什么?
答案 0 :(得分:3)
这些是进入win32k.sys的系统调用。想想GetMessage,EndDraw等等。